Sync: add kubernetes observability notes

2026-04-24 11:35:04 +08:00
parent ca96e409be
commit 989ec86c77
23 changed files with 1350 additions and 9 deletions
--- a/wiki/entities/AWS-OpenSearch.md
+++ b/wiki/entities/AWS-OpenSearch.md
@@ -0,0 +1,55 @@
+---
+title: "AWS OpenSearch"
+type: entity
+entity_type: Product
+tags: [AWS, Database, Observability, Logging, OpenSource]
+sources: [ctp-topic-54-esm-saas-log-analytics]
+last_updated: 2026-04-25
+---
+
+# AWS OpenSearch
+
+**AWS OpenSearch** 是 AWS 提供的托管式 OpenSearch 服务，是 Elasticsearch 的开源分支（基于 Elasticsearch 7.10.2）的 AWS 托管版本，提供全文搜索和日志分析能力。
+
+## Overview
+
+OpenSearch 起源于 Elasticsearch 与 HashiCorp 之间的许可证变更（2021 年），AWS 创建了 OpenSearch 作为 Elasticsearch 的开源替代，并将其作为托管服务提供（Amazon OpenSearch Service）。
+
+## Key Characteristics
+
+| Attribute | Value |
+|-----------|-------|
+| **Type** | 托管式分布式搜索和日志分析引擎 |
+| **License** | Apache 2.0 |
+| **Origin** | Elasticsearch 7.10.2 分支，AWS 主导 |
+| **API Compatibility** | 与 Elasticsearch OSS 7.x API 兼容 |
+| **Managed Service** | Amazon OpenSearch Service (Serverless / Standard) |
+
+## Cost Comparison (per Month)
+
+基于单农场、14天数据保留、每日处理 100GB 的估算：
+
+| Solution | Estimated Cost | SLA | Notes |
+|----------|---------------|-----|-------|
+| **AWS OpenSearch** | ~$1,500 | 99.9% | 推荐方案，含自动快照 DR |
+| **Logz.io** | ~$4,000 | 99.8% | 托管 ELK 方案 |
+| **Self-hosted ELK** | 很低 | 视自建方案 | 成本低但维护复杂 |
+| **Microfocus OBA** | 商业版 | 商业支持 | 更成熟，支持列级访问控制 |
+
+## Key Claims
+
+- AWS OpenSearch 相比 Logz.io 成本降低约 60%（$1,500 vs $4,000/月）
+- AWS OpenSearch 提供 99.9% SLA，高于 Logz.io 的 99.8%
+- AWS OpenSearch 内置自动快照（Automated Snapshots），开箱即用的 DR 能力
+- OpenSearch 是 Elasticsearch 的开源分支，API 兼容，无需大规模代码改动即可迁移
+
+## Related Concepts
+
+- [[ELK-Stack]]：OpenSearch 是 ELK 栈中 Elasticsearch 的开源替代
+- [[Elasticsearch]]：OpenSearch 的上游来源
+- [[Kibana]]：OpenSearch 的官方可视化前端（OpenSearch Dashboards）
+- [[AWS-Landing-Zone]]：OpenSearch 常作为 Landing Zone 日志账户的核心组件
+
+## Sources
+
+- [[ctp-topic-54-esm-saas-log-analytics]]
--- a/wiki/entities/Bottlerocket.md
+++ b/wiki/entities/Bottlerocket.md
@@ -0,0 +1,77 @@
+---
+title: "Bottlerocket"
+type: entity
+tags:
+  - AWS
+  - Container OS
+  - Linux
+  - EKS
+sources:
+  - public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w
+  - public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks
+last_updated: 2026-04-24
+---
+
+# Bottlerocket
+
+AWS 主导维护的容器专用开源 Linux 操作系统，Bottlerocket OS 的命名灵感来自装满蝌蚪的瓶子（tadpole-containing bottle），旨在为容器工作负载提供最小化、安全加固的运行时环境。
+
+## 核心设计理念
+
+### 最小化（Minimalism）
+- 去除所有非必要组件：无包管理器、无默认 Shell 解释器、无默认 SSH 访问
+- 仅打包必要内核组件到 OS 镜像，攻击面降至最低
+- Bottlerocket 可运行于笔记本电脑、工作站和数据中心环境
+
+### Variant 机制
+Variant 是 Bottlerocket 的核心定制机制——在构建时组合以下维度：
+- **平台**（platform）：AWS（用于 EC2）、Bare Metal 等
+- **处理器架构**：x86_64、ARM64 (Graviton)
+- **工作负载组件**：Kubernetes 节点、NVIDIA GPU 支持、自定义包
+
+Variant 允许按需定制（如 Bottlerocket with Kubernetes + NVIDIA GPU），避免通用 OS 的臃肿。
+
+### 安全更新（Safe Updates）
+- **分区镜像更新（Partition Updates）**：A/B 双分区机制，在线下载新版本镜像到非活动分区，重启后切换，确保更新原子性
+- **Data Volume**：独立数据卷缓存容器镜像，支持快照预填充
+- **in-place 更新**：无需替换节点即可完成 OS 升级
+
+### 安全加固（Security Hardening）
+- **dm-verity**：对根文件系统进行加密哈希验证，检测任何未授权篡改
+- **只读根文件系统**：默认只读，运行时无法修改根目录内容
+- **SE Linux enforcing**：默认启用 enforcing 模式，基于标签的强制访问控制（MAC）
+- **Secure Boot**：启动时验证引导加载程序和内核签名
+- **CIS Benchmark**：Bottlerocket 提供专用 CIS benchmark 安全加固指南
+
+## 与 EKS 的集成
+
+Bottlerocket 支持与 Amazon EKS 的三种集成方式：
+
+| 集成方式 | 说明 |
+|---------|------|
+| Bottlerocket for EKS AMI | 自管理节点组（Self-Managed Node Groups），通过 eksctl 或 launch template 指定 |
+| 托管节点组（Managed Node Groups） | EKS 自动管理的节点组，可指定 Bottlerocket AMI |
+| Carpenter 节点池 | EKS Auto Mode 的节点池，Carpenter Controller 自动管理，Bottlerocket 为默认 OS |
+
+## 配置方式
+
+- **API 接口**：通过 Bottlerocket API 远程配置节点
+- **TOML 用户数据**：在实例启动时通过 userdata 传递 TOML 格式配置
+- **EKS 工具集成**：eksctl、Carpenter 等工具原生支持 Bottlerocket
+
+## 最佳实践
+
+- **锁定 AMI 版本**：生产环境应将 Bottlerocket AMI 锁定到特定版本，避免自动升级导致意外中断
+- **通过 Bottlerocket API 配置**：而非手动 SSH 登录修改配置（默认禁用了交互式 Shell）
+- **监控更新状态**：通过 API 检查当前活动的分区版本和待切换版本
+
+## 相关资源
+
+- GitHub：https://github.com/bottlerocket-os/bottlerocket
+- 文档：https://bottlerocket.dev/
+- AWS Bottlerocket AMI：AWS Marketplace 和 SSM 参数提供
+
+## Aliases
+- Bottlerocket OS
+- 火箭瓶（中文社区昵称）
+- Bottlerocket for EKS
--- a/wiki/entities/Jay-Comer.md
+++ b/wiki/entities/Jay-Comer.md
@@ -0,0 +1,35 @@
+---
+title: "Jay Comer"
+type: entity
+entity_type: Person
+tags: [AWS, Solutions Architect, Observability, OpenTelemetry]
+sources: [public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113]
+last_updated: 2026-04-27
+---
+
+# Jay Comer
+
+**Jay Comer** 是 AWS 的解决方案架构师（Solutions Architect），在 2024 年 4 月的 Public Cloud Learning Sessions 中主讲 OpenTelemetry 可观测性专题。
+
+## Profile
+
+| Attribute | Value |
+|-----------|-------|
+| **Role** | Solutions Architect |
+| **Company** | AWS (Amazon Web Services) |
+| **Expertise** | Observability, OpenTelemetry, AWS Monitoring Services |
+| **Presentation Date** | 2024-04-02 |
+
+## Key Contributions
+
+在 2024 年 4 月的 Learning Session 中，Jay Comer 全面介绍了 AWS 可观测性生态中的 OpenTelemetry 解决方案，包括：
+
+- 可观测性定义（通过外部输出推断内部状态）
+- 三信号模型（Metrics/Logs/Traces）
+- OpenTelemetry 核心架构（OTLP + Language SDKs + Collector）
+- AWS Distribution for OpenTelemetry 功能特性
+- EKS 环境下的完整可观测性管道演示
+
+## Sources
+
+- [[public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113]]
--- a/wiki/entities/Suravpul.md
+++ b/wiki/entities/Suravpul.md
@@ -0,0 +1,24 @@
+---
+title: "Suravpul"
+type: entity
+tags: [AWS, Solutions-Architect, EKS]
+last_updated: 2026-04-25
+---
+
+# Suravpul
+
+AWS 高级解决方案架构师（Senior Solutions Architect），专注 Amazon EKS 的可靠性、可观测性和扩缩容实践。
+
+## Role
+- AWS Senior Solutions Architect
+- 主讲 CTP 云转型系列中多个 EKS 深度专题
+
+## Sources
+- [[ctp-topic-59-achieving-reliability-with-amazon-eks]] — EKS 可靠性最佳实践
+- [[ctp-topic-64-scaling-out-with-amazon-eks]] — EKS 工作负载扩缩容
+- [[ctp-topic-67-cloud-native-observability-using-opentelemetry]] — EKS 云原生可观测性
+
+## Connections
+- [[Amazon EKS]] — 专注领域
+- [[AWS]] — 雇主
+- [[Surav Paul]] — 同一人：ctp-topic-59 标注为 "Surav Paul"，本视频标注为 "Suravpul"，推断为同一 AWS 高级解决方案架构师的不同记法